Archiv der Kategorie: Praxis

Passworte im kirchlichen Datenschutz

Der erste Donnerstag im Mai ist Welt-Passwort-Tag. Der Gedenktag wurde 2013 durch den Chip-Hersteller Intel ins Leben gerufen. Anders als der Ändere-dein-Passwort-Tag am 1. Februar mit seiner unsinnigen und gefährlichen Botschaft geht es heute erst einmal nur neutral um Passwort-Sicherheit.

Ein Zahlenschloss zeigt die Kombination 0–1–3
(Foto von rc.xyz NFT gallery auf Unsplash

Datensicherheit ist auch im kirchlichen Datenschutz wichtig. Das kirchliche Datenschutzrecht überlässt die konkrete Ausgestaltung von technischen und organisatorischen Maßnahmen aber weitgehend den jeweiligen Verantwortlichen. Nur wenige Normen beziehen sich explizit auf Passwörter – und die sind leider nicht immer gelungen.

Weiterlesen

Darf man Seelsorgedaten digital verarbeiten – und wie?

Zur digitalen Kirche gehört auch digitale Seelsorge. Und die ist nicht möglich, ohne personenbezogene Daten zu verarbeiten. Und auch bei nicht-digitaler Seelsorge stellt sich die Frage, wie Daten darüber gesichert werden müssen.

Ein persönliches Gespräch über eine Videokonferenz, auf dem Tisch liegt ein offenes Buch
Seelsorge über Videokonferenz ist möglich – die rechtlichen und technischen Hürden sind aber hoch

Eine eigene Kategorie »Seelsorgedaten« kennen weder das KDG noch das DSG-EKD. Da Daten über Seelsorge aber Auskunft über religiöse Überzeugungen geben, gehören sie zu den besonderen Kategorien. Ihre Verarbeitung ist damit an die erhöhten Bedingungen von § 11 KDG oder § 13 DSG-EKD geknüpft. Doch es gibt auch spezielle Regelungen

Weiterlesen

Haben MAVen ein datenschutzrechtliches Beschwerderecht?

Wer Betroffenenrechte wahrnimmt, darf deshalb nicht benachteiligt werden. Trotzdem mag es Fälle geben, in denen man sich gerade im Beschäftigungsverhältnis nicht selbst bei der Datenschutzaufsicht beschweren kann. Da liegt es nahe, bei der Mitarbeitervertretung um Hilfe zu bitten. Oder es gibt allgemeine Datenschutzmängel, die einzelne Betroffene nicht als Beschwerde einreichen können. Damit stellt sich die Frage: Darf sich eine MAV bei der Datenschutzaufsicht beschweren?

Zwei Männer schauen auf ein Smartphone, einer zeigt darauf.
(Bildquelle: Luis Villasmil auf Unsplash

Die einfache Antwort ist: Beschweren kann man sich immer. Nur ist eine Beschwerde noch lange keine Beschwerde im datenschutzrechtlichen Sinn. Ein Blick in die kirchlichen Datenschutzgesetze zeigt, welche Optionen MAVen und (nicht nur) Beschäftigte haben.

Weiterlesen

Kündigung nach Kirchenaustritt – mit Steuerdaten?

Auch nach der Reform der katholischen Grundordnung des kirchlichen Dienstes bleibt der Kirchenaustritt von Katholik*innen ein Kündigungsgrund. Ob das rechtens ist, entscheidet wohl bald der EuGH. Mindestens bis dahin stellt sich die Frage, wie kirchliche Arbeitgeber überhaupt vom Kirchenaustritt erfahren – und ob sie ihr Wissen verwenden dürfen.

Ein transparentes Notausgang-Schild, dahinter unscharf und bunt ein Gang
Kirchenaustritt und kirchliches Arbeitsverhältnis – eine konfliktreiche Kombination (Bildquelle: Ashwini Chaudhary(Monty) auf Unsplash, bearbeitet)

Vorhanden sind die Daten zur Kirchenmitgliedschaft in jedem Unternehmen: In der Lohnbuchhaltung liegen die vom Finanzamt übermittelten Daten zur Kirchensteuer vor. In einem Gastbeitrag befasst sich der Leiter der KDSA Ost Matthias Ullrich damit, ob diese Daten in kirchlichen Arbeitsverhältnissen dazu genutzt werden dürfen, um Kirchenaustritte arbeitsrechtlich zu sanktionieren.

Weiterlesen

Strategien für gesetzübergreifende gemeinsame Verantwortlichkeit

Auf dem Papier sieht gemeinsame Verantwortlichkeit sehr einfach aus: »Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche«, heißt es in Art. 26 DSGVO, die entsprechenden Normen im KDG und im DSG-EKD sind fast gleichlautend. Nur: Was passiert, wenn die gemeinsamen Verantwortlichen unterschiedlichen Gesetzen unterliegen, also etwa DSGVO und KDG oder KDG und DSG-EKD?

Cover der Ausgabe 2/2024 der Zeitschrift »Datenschutz-Berater« mit dem Artikel zur gemeinsamen Verantwortlichkeit

In der aktuellen Ausgabe des Datenschutz-Berater habe ich mich mit dieser Frage beschäftigt: »Verschiedene Gesetze, gemeinsame Verantwortlichkeit – eine ungeklärte Frage im kirchlichen Datenschutz«. Vieles muss dabei vage bleiben, solange Aufsichten und Gerichte sich dazu nicht äußern. Aber immerhin habe ich Strategien entworfen, wie man damit umgehen kann. Hier veröffentliche ich das Fazit und eine Synopse, den vollständigen Artikel gibt es im Heft.

Weiterlesen

Bereit für ein Facebook-Aus: Exit-Optionen und Plan B

Wer im eigenen Kommunikations-Mix eine Facebook-Fanseite hat, muss jederzeit damit rechnen, dass bald keine Facebook-Fanseite mehr im Mix ist: Einhellig gehen die Datenschutzaufsichten davon aus, dass Fanpages nicht rechtskonform zu betreiben sind. Der Bundesdatenschutzbeauftragte und die sächsische Landesdatenschutzbeauftragte haben Bescheide gegen die Betreiber der Fanpages der Bundesregierung und der sächsischen Landesregierung erlassen, beide Regierungen haben geklagt – und am Ende könnten Musterurteile stehen, auf deren Grundlage die Datenschutzaufsichten durchgreifen.

Facebook-Daumen nach unten
(Bildquelle: Barefoot Communications on Unsplash)

Die Musterverfahren können sich über Jahre hinziehen. Bis dahin ist die Rechtswidrigkeit in der Schwebe. Doch schon vorher kann jederzeit das Aus kommen: Auch wenn sich die Aufsichten – kirchliche wie staatliche – zurückhalten und nicht initiativ tätig werden. Auf eine Beschwerde hin müssen sie tätig werden – und dann droht eine »Untersagung der Verarbeitung«. Vulgo: Die Anweisung, abzuschalten. Für diesen Fall sollte man vorsorgen, sich eine Facbeook-Exit-Option und einen Plan B für die Kommunikation überlegen. Der große Vorteil von diesen Strategien: Nicht nur für den Fall der Fälle geht man auf Nummer sicher. Die Maßnahmen machen schon jetzt die eigene Social-Strategie besser und stärker.

(Und auch wenn Facebook-Fanpages im Fokus der Aufmerksamkeit stehen: Ex-Twitter, Instagram, WhatsApp, TikTok und viele weitere Dienste können bei einer Beschwerde auch ganz schnell aus dem Mix herausgekegelt werden.)

Weiterlesen

Beschäftigtendatenschutz in KDG und DSG-EKD

Sowohl das KDG als auch das DSG-EKD haben in ihrem Kapitel zu Vorschriften für besondere Verarbeitungssituationen eigene Normen für die Verarbeitung personenbezogener Daten in Beschäftigungsverhältnissen. § 49 DSG-EKD und § 53 KDG sind sichtlich § 26 BDSG nachgebildet – allerdings mit einigen Unterschieden.

Menschen arbeiten in einem Großraumbüro
(Bildquelle: Alex Kotliarskyi auf Unsplash)


Die verschiedenen Gesetzgeber haben dabei sehr unterschiedliche Strategien verfolgt, wie stark und wo kirchliche Besonderheiten berücksichtigt werden. Die kirchlichen Regeln haben zwar jeweils ihre Lücken und Probleme – insgesamt dürften sie aber zukunftssicherer sein als ihr BDSG-Pendant.

Weiterlesen

EU-US-Datenschutzrahmen im kirchlichen Datenschutz

Knapp drei Jahre nach Schrems II und dem damit erwirkten Aus für das EU–US Privacy Shield gibt es wieder eine Rechtsgrundlage für die einfache Übertragung von personenbezogenen Daten in die USA: Am Montag teilte die EU-Kommission mit, dass sie einen Angemessenheitsbeschluss für den neuen »Datenschutzrahmen EU-USA« (»EU-US Data Privacy Framework«) getroffen hat, der am Dienstag, 11. Juli, in Kraft tritt.

Ein Mann mit einer US-Flagge als Umhang wird von einer laufenden Frau mit US-Flagge verfolgt.
So ähnlich funktioniert Datenübertragung in die USA. (Bildquelle: Photo by frank mckenna on Unsplash)


Angemessenheitsbeschlüsse können grundsätzlich auch im Geltungsbereich der kirchlichen Datenschutzgesetze angewandt werden. Die ausführliche FAQ-Liste von Thomas Schwenke oder der Angemessenheitsbeschluss selbst können grundsätzlich für Datenübertragungen gemäß KDG und DSG-EKD herangezogen werden. Dennoch gibt es einige Besonderheiten in beiden Gesetzen.

Weiterlesen

Nach Beanstandung durch Aufsicht: EKBO-Intranet auf dem Weg der Besserung

Bei der vom BfD EKD in seinem neuen Tätigkeitsbericht aufgrund umfangreicher Datenabfrage bei der Intranet-Registrierung bemängelten Landeskirche handelt es sich wie schon vermutet um die EKBO. Auf Anfrage bestätigte eine Sprecherin, dass man davon ausgehe, dass sich der Bericht auf ihre Landeskirche beziehe. Das EKBO-Intranet ist unter der URL info-gemeinsam.ekbo.de erreichbar. Eine Sprecherin der EKiR teilte dagegen mit, dass ihr – augenscheinlich auf derselben Software basierendes – Intranet nicht im Tätigkeitsbericht erwähnt wird.

Die Anmeldemaske des EKBO-Intranets auf einem Smartphone-Bildschirm. Deutlich ist zu erkennen, dass ein Geburtsdatum einzugeben ist.
Immer noch Pflicht: das Geburtsdatum
Weiterlesen

Das »kleine Konzernprivileg« bei Kooperationen und Konzentrationen

Häufig ist bei rechtlich selbständigen kirchlichen Stellen ein reger Datenaustausch zu verzeichnen. Zum Teil kooperieren diese Stellen entweder eng miteinander oder sind gar in einer Konzernstruktur verbunden. Das »kleine Konzernprivileg« kann hier nur sehr bedingt eingesetzt werden. Diese Verarbeitungen müssen daher einer differenzierten datenschutzrechtlichen Betrachtung unterzogen und, wo nötig, vertraglich geregelt werden.

Geometrische Figuren ergeben ein kompliziertes, sich überlagerndes Muster
Nicht jedes Organigramm ist gleich eingängig. (Symbolbild, Bildquelle: Martin Sanchez auf Unsplash)

Kooperationen sind im kirchlichen Umfeld fester Bestandteil der Arbeitswelt. Neben Einrichtungen des Gesundheits- und Sozialwesens übernehmen auch in der verfassten Kirche verschiedene Stellen Aufgaben für andere (z. B. Dekanate, kreiskirchliche Verwaltungsämter, Regionalzentren).

Damit geht meist eine Datenverarbeitung einher, für die je nach Konstellation vertragliche Regelungen erforderlich werden. Unumgänglich ist es, die Rechtsgrundlage für den Datenaustausch und die Verantwortlichkeit für die Verarbeitung personenbezogener Daten zu klären. Denn nur so ist eine (haftungs-)rechtliche Absicherung und die Erfüllung aller Pflichten der verantwortlichen Stellen möglich.

Weiterlesen